Новая фишинговая кампания распространяет вредоносы RemcosRAT и Formbook по европейские предприятиям через загрузчик вредоносных программ, получивший название DBatLoader.
“Полезная нагрузка вредоносного ПО DBatLoader распространяется через веб-сайты WordPress с авторизованными SSL-сертификатами, что является популярной тактикой, используемой злоумышленниками для уклонения от механизмов обнаружения”, – заявили исследователи компании Zscaler в своём отчёте , опубликованном 27 марта.
Выводы исследователей основаны на отчёте SentinelOne от 6 марта, в котором подробно описаны фишинговые электронные письма, содержащие вредоносные вложения, замаскированные под финансовые документы.
DBatLoader, также известный как ModiLoader и NatsoLoader, представляет из себя вредоносное ПО на основе Delphi, способное доставлять дополнительные полезные нагрузки из облачных сервисов, таких как Google Drive и Microsoft OneDrive, а также использовать методы стеганографии изображений для обхода механизмов обнаружения.
Схема доставки RemcosRAT и Formbook через загрузчик DBatLoader
Одним из примечательных аспектов атаки является использование имитации доверенных каталогов, таких как “C:Windows System32” (внимание на пробел в конце после “Windows”), для обхода контроля учетных записей (UAC) и автоматического повышения привилегий вредоноса.
Это позволяет злоумышленникам выполнять зловредные действия с повышенными правами, не предупреждая пользователей. В том числе устанавливать постоянство в системе и добавлять каталог “C:Users ” в список исключений Microsoft Defender, чтобы избежать сканирования и обнаружения вредоносного ПО.
Чтобы снизить риски, связанные с DBatLoader, пользователям Windows рекомендуется отслеживать выполнение подозрительных процессов из системных папок с добавлением пробела в названии, а также настроить Windows UAC на значение “Всегда уведомлять”.